Smart filter

[winstone_007]

Ciao devo mettere un programma di filtro sulla rete, per limitare i siti raggiungibili via internet. (es facebook, twitter tutti i siti porno ecc) ho sentito parlare di un software che si chiama internet smart filter, ma non sono riuscito a trovare nulla sulla rete.
Qualcuno mi suggerisce qualcosa?
Ciao e grazie a tutti.

[wizard1993]

sul gateway o sul singolo pc?

[antoniox]

Io utilizzo FreeProxy (http://www.handcraftedsoftware.org/) in tre "installazioni".

Nella rete è presente un server che fa da DC (Domain Controller) Windows 2003 oppure 2008.
Sul esso (oppure su un altro server dedicato) è installato il freeproxy.

Attraverso le GPo (Group Policies) del dominio, tutti i browser utilizzando come server proxy il server sul quale è installato freeproxy. Inoltre nessuno degli user di dominio può modificare le impostazioni di rete nè quelle del browser.

Freeproxy permette di "importare" i gruppi e gli utenti definiti nel dominio e di settare in maniera non troppo granulare chi può e chi non può connettersi ad internet (on\off) ma anche a quali siti ciascun utente\gruppo può oppure non può visitare.

Per le mie esigenze è ottimo perchè ho abilitato una decina di siti agli user, ho abilitato la navigazione libera ad un paio di gruppi di utenti e basta.

Altre soluzioni permettono una migliore granularità, probabilmente.
Ma questa è gratuita ed estremamente facile da configurare.

Ciao!

[winstone_007]

Quote:

Originariamente inviato da antoniox

Io utilizzo FreeProxy (http://www.handcraftedsoftware.org/) in tre "installazioni".

Nella rete è presente un server che fa da DC (Domain Controller) Windows 2003 oppure 2008.
Sul esso (oppure su un altro server dedicato) è installato il freeproxy.

Attraverso le GPo (Group Policies) del dominio, tutti i browser utilizzando come server proxy il server sul quale è installato freeproxy. Inoltre nessuno degli user di dominio può modificare le impostazioni di rete nè quelle del browser.

Freeproxy permette di "importare" i gruppi e gli utenti definiti nel dominio e di settare in maniera non troppo granulare chi può e chi non può connettersi ad internet (on\off) ma anche a quali siti ciascun utente\gruppo può oppure non può visitare.

Per le mie esigenze è ottimo perchè ho abilitato una decina di siti agli user, ho abilitato la navigazione libera ad un paio di gruppi di utenti e basta.

Altre soluzioni permettono una migliore granularità, probabilmente.
Ma questa è gratuita ed estremamente facile da configurare.

Ciao!

potrebbe andare bene, mi sapresti indicare quante sono le limitazioni ammesse? Cioe' se esiste un numero massimo dei siti da inserire o se si possono mettre regole generali come %tube o %porn ecc.?

[winstone_007]

Quote:

Originariamente inviato da wizard1993

sul gateway o sul singolo pc?

sun un server di dominio windows 2008 rs

[antoniox]

Non dovrebbero esserci limitazioni.
Supporta i caratteri jolly (*tube, *orn.com, *.*, *.xxx, ecc).

Essendo gratuito e davvero semplice da impostare, ti consiglio di provarlo.

Male che vada, disinstalli e disabiliti le GPO.

Ciao!

[wizard1993]

Quote:

Originariamente inviato da antoniox

Non dovrebbero esserci limitazioni.

Ciao!

e come filtri una richiesta che non passa dal browser? tanto per capirsi se uno dei tuoi utonti si porta firefox portable su chiavetta che gli inventi?

[antoniox]

Questa parte la gestisco con le impostazioni di rete.

Semplicemente il gateway impostato nel client non risponde alle richieste che arrivano sulla porta 80 o su altre porte ;-)

Mi spiego meglio con la configurazione della della rete dove mi trovo ora (gli indirizzi sono fittizi)

Router (qui è quello di Alice): ha un indirizzo pubblico sulla WAN, variabile (e non mi interessa quale sia) e un indirizzo interno locale.
Diciamo 192.168.0.1.
Il port forwarding "gira" tutte le richieste dalla wan all'indirizzo locale del firewall.
Sulla porta LAN accetta solo pacchetti provenienti dalla porta WAN del firewall.

Firewall Watchguard: sulla porta WAN ha un indirizzo 192.168.0.2 ed è collegato direttamente alla porta LAN del router Alice.
Sulla porta WAN ha un indirizzo locale statico 192.168.10.1.
Ci sono le sue brave regole di firewalling, ad esempio di accettare sulla porta LAN solo pacchetti provenienti dal server proxy (192.168.10.2)

Il server proxy: accetta connessioni solo sulla porta 8080 e, se l'utente è autorizzato, le gira sulla LAN verso il firewall. Altrimenti risponde con un bel FORBIDDEN (il messaggio è personalizzabile).

Se nella tua infrastruttura implementi un server DNS per fornire l'indirizzo IP e quello del gateway ai client e se con le GPO impedisci loro di modificare le impostazioni di rete, hai raggiunto l'obiettivo. Con il firefox su chiavetta, semplicemente non si naviga affatto.

Cosa potrebbe fare l'utente smaliziato?

Collegare il proprio pc (oppure far partire una distribuzione live sul client aziendale, a meno che non sia stato bloccato da BIOS e con password l'avvio da USB\CD) alla rete e inserire manualmente come gateway l'indirizzo del firewall o del router Alice (questo deve però scoprirlo)! Ma abbiamo detto che loro accettano solo pacchetti dal server proxy o dal firewall!

Quindi l'utente smaliziato dovrebbe inserire come proprio indirizzo IP quello del server proxy o della porta WAN del firewall...

Gli utenti con i quali ho a che fare solitamente non hanno queste abilità; e, comunque, tutti hanno firmato un documento molto chiaro sulle responsabilità nelle quali si incorre nel caso di metta a rischio la privacy aziendale (anche attraverso azioni di questo tipo).

Spero di non aver scritto troppe stupidaggini.

Ciao!

[wizard1993]

Quote:

Originariamente inviato da antoniox

Questa parte la gestisco con le impostazioni di rete.

Spero di non aver scritto troppe stupidaggini.

Ciao!

praticamente fai il lavoro che normalmente si fa con un radius usando routing statico più firewall, un divertimento assoluto e soprattutto alla faccia dell'ottimizazzione .
Permettimi un appunto, forse sarà che io sono in una scuola (un itis con specializzazione di informatica) dove la gente, in ambito networking soprattutto, viene su con attributi tetraedrici e quindi trovarsi macchine bypassate a livello di sistema operativo (non so mai cosa augurare quelli di ophcrack) oppure a livello ancora più basso (sistema live o macchina direttamente esterna) è quasi normale così come altr situazioni drastiche (dai tunnel ssh crittografati in su).
Magari te non hai problemi di questo genere, ma io ho dovuto pensare a cose più "fini" per effettuare un controllo.
In tale ambito mi sembra che tu non sia a conoscienza di una feature che farebbe molto bene al caso tuo: ossia le vlan.
Con uno switch che supporti l'801.q potresti far si che tutti i client non possano fisicamente contattare direttamente il gateway verso internet( il router di alice nel tuo caso) e passare di forza attraverso il tuo gateway/firewall etc con la sicurezza che le porte sono taggate in base al supporto fisico (ossia proprio il numero di porta dello switch) impedendo di fatto anche tecniche di cambiamento del mac address.
a quel punto con una distro ad hoc tipo easy hot spot si può tirar su un server radius che filtra tutte le connessioni con tutte le regole che ti pare, potendo stabilire anche limiti di banda e tempo per ogni singolo utente (e non per macchina), oltre chiaramente al supporto al proxy. Questa stessa macchina farà da gateway verso la rete interna del router che esce su internet a livello ip e mantenendo il routing disabilitato si eliminano una buona fascia di problemi.

[antoniox]

Le soluzioni possibili, in ambito informatico, sono quasi sempre molteplici.

La migliore risposta sta nella domanda (cit.) ovvero: a winstone_007 cosa occorre? Di quali risorse dispone? Hardare, software, infrastruttura di rete, eventuale budget per nuovi acquisti e capacità tecniche?

La soluzione che ho proposto è ottimale per il mio personalissimo caso e -immagino- improponibile nel tuo.
E' facilmente replicabile.
Non richiede hardware con caratteristiche particolari.
Richiede un unico software, gratuito e molto semplice.
Richiede una conoscenza basilare dell'AD.

Il consiglio sull'utilizzo della VLan è interessante. Mi documenterò. .

Ciao!